Für die Desktop-Fassung des Chrome-Browsers steht ein Update bereit, dass die stabile Version (Stable Channel) auf 89.0.4389.128 anhebt. Für die beiden beseitigten Schwachstellen mit "High"-Einstufung (CVE-2021-21206, CVE-2021-21220) ist Exploit-Code öffentlich verfügbar, womit das Risiko, dass sie von Angreifern ausgenutzt werden, recht hoch ist. Ob (und in welchem Maße) dies bereits der Fall ist, geht aus Googles Advisory allerdings nicht klar hervor: "Google is aware of reports that exploits (...) exist in the wild", heißt es darin lediglich.

Wie gewohnt nennt Google nur wenige Details zu den beiden Lücken: Zugriff auf Details gibt es in der Regel erst dann, wenn die meisten Nutzer das Update erhalten haben. Auf diese Weise soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme minimiert werden. Beide Schwachstellen wurden von externen Sicherheitsforschern entdeckt und an Google gemeldet.

Sicherheits-Updates sollen wie gewohnt in den kommenden Tagen und Wochen via Auto-Update verteilt werden. Wer aktiv nach Updates suchen will, kann dies über den Menüpunkt "Hilfe"--> "Über Google Chrome" tun.

CVE-2021-21220 ("Insufficient validation of untrusted input in V8 for x86_64") wurde von einem Forscherteam im Rahmen des Pwn2Own-Wettbewerbs vergangene Woche demonstriert. Der Exploit gelang sowohl mit Chrome als auch mit Microsofts Chromium-basiertem Edge, der für gewöhnlich leicht zeitversetzt dieselben Aktualisierungen wie Chrome erhält.

Derzeit scheinen die aktuellen Sicherheitsupdates für Edge jedoch noch nicht verfügbar zu sein: Zwar wurde Edge am gestrigen Dienstag auf Version 89.0.774.76 aktualisiert, die Liste der "Release Notes for Microsoft Edge Security Updates" jedoch seit Anfang April nicht ergänzt. Somit dürfte es sich hier eher um ein allgemeines Wartungsupdate gehandelt haben.

Die aktuell installierte Edge-Version lässt sich überprüfen (und zugleich auch manuell aktualisieren), indem man über das Menü rechts oben zu "Hilfe und Feedback" und dann zu "Über Microsoft Edge" navigiert.

Übrigens steht Chrome 90 schon in den Startlöchern:

